jibinfo

J'ai finalement pu me débarasser de la bête... Si ça peut aider ceux aui ont attrapé cette bête, voici ce que j'ai fait: - Avec ZHPDiag et ZHPFix j'ai pu virer les divers .exe infectés créés par la chose (situés dans Windows\temp\nom bizarre). - Avec Kaspersky Virus Removal Tool pour virer les DLL et fichers .sys infectés. - J'ai lancé la dernière version de TDSSKiller (qui ne plante plus à 80%) Après ça mon PC semblait OK sauf que les clés O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe réapparaissaient à chaque Reboot.. J'ai fini par supprimer manuellement la clé FEATURE_BROWSER_EMULATION dans [HKUS\S-1-5-18] et [HKUS\.DEFAULT] et là bingo! bye bye Giftload: au reboot suivant tout a disparu, Win Update est accessible, les liens google marchent, BenLaden a plongé et le trou de la couche d'ozone se rebouche .... Je suis très soulagé car j'étais assez réticent à l'idée d'utiliser ComboFix ou de formater .. Je remercie l'équipe de ce forum qui m'a permis de trouver et de comprendre comment marchent ces outils ... (A propos de GifLoad: MBAM, ESET, Antivir, RogueKiller même mis à jour n'ont rien détecté, Spybot le detecte mais ne le supprime pas ...)

J'ai oublié : j'ai scanné le fichier setup.exe avec MBAM et Avira Antivir (actualisés) qui n'ont rien trouvé de suspect ...

Suite des aventures ... Pendant que je scanne mon ordi avec ESET Scanner Online (plutot long, 2h qu'il tourne, 57% effectués), un fichier setup.exe a été créé dans C:\WINDOWS\Temp\fvbt et s'est lancé ... j'ai pu le stoper avec le gestionnaire de taches .. Je l'ai renommé en setup.ex0 et zippé : voila la bête Voici le log de HJT: Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 17:23:12, on 02/05/2011 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\dllhost.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\Explorer.EXE C:\Program Files\PopTray\PopTray.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Avira\AntiVir Desktop\avshadow.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe C:\Program Files\ESET\ESET Online Scanner\OnlineCmdLineScanner.exe C:\Program Files\Wars_of_Conquest\Wars of conquest.exe C:\WINDOWS\TEMP\fvbt\setup.exe C:\WINDOWS\system32\taskmgr.exe C:\Program Files\hjt\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1 O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: PopTray.lnk = C:\Program Files\PopTray\PopTray.exe (User 'SYSTEM') O4 - .DEFAULT Startup: PopTray.lnk = C:\Program Files\PopTray\PopTray.exe (User 'Default user') O4 - Startup: PopTray.lnk = C:\Program Files\PopTray\PopTray.exe O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos-beta/OnlineScanner.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-03.sun.com/s/ESD5/JSCDL/jdk/6u10/jinstall-6u10-windows-i586-jc.cab?e=1225034715715&h=dac21685adf27a73cf6af499dd56edc9/&filename=jinstall-6u10-windows-i586-jc.cab O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O16 - DPF: {A3256902-51FA-45A0-8A97-FC1143C169D9} (Diagnostics ActiveX WebControl) - Microsoft Automated Troubleshooting Services O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E185AE0E-4A88-49CD-8E62-3D2DA0B4B5AF}: NameServer = 80.10.246.130 81.253.149.2 O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Service Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe -- End of file - 6069 bytes La suite à la fin de ESET Scanner ....

Bonjour, J'ai les mêmes problèmes que plusieurs autres utilisateurs, que je n'arrive pas à résoudre seul, après consultation de moults forums .. Voici les symptomes: - Click giftload détecté par Spybot, mais revient après chque fix. - TDSSKiller plante après 80% de chargement. - Fichier Hosts éffacé aléatoirement ... - Windows Update inaccessible. - PopUps (rares) malgré Google Toolbar (c'est ce qui m'a alerté) - Déconnection d'internet .. Avira Antivir et MBAM ne détectent rien ... Voici le rapport de ZHPDiag : Merci d'avance pour toute piste Jib